Sobre o acesso à API Vertex AI

Os aplicativos podem se conectar a APIs no ambiente de produção do Google a partir do Google Cloud ou de redes híbridas (no local e multicloud). OGoogle Cloud oferece as seguintes opções de acesso público e privado, com acessibilidade global e segurança SSL/TLS:

  1. Acesso via Internet pública: envie tráfego para REGION-aiplatform.googleapis.com.
  2. Endpoints do Private Service Connect para APIs do Google: use um endereço IP interno definido pelo usuário, como 10.0.0.100, para acessar REGION-aiplatform.googleapis.com ou um nome DNS atribuído, como aiplatform-genai1.p.googleapis.com.

O diagrama a seguir ilustra essas opções de acesso.

Diagrama de arquitetura do acesso à API Vertex AI por métodos públicos e privados

Alguns produtores de serviços da Vertex AI exigem que você se conecte aos serviços deles por meio de endpoints do Private Service Connect ou interfaces do Private Service Connect. Esses serviços estão listados na tabela Opções de acesso privado para a Vertex AI.

Como escolher entre endpoints regionais e globais da Vertex AI

O endpoint regional da Vertex AI (REGION-aiplatform.googleapis.com) é a maneira padrão de acessar as APIs do Google. Para aplicativos implantados em várias regiões do Google Cloud, considere usar o endpoint global (aiplatform.googleapis.com) para uma chamada de API consistente e um design mais robusto, a menos que o modelo ou recurso desejado esteja disponível apenas regionalmente. Os benefícios de usar o endpoint global incluem:

  • Disponibilidade de modelos e recursos: alguns dos modelos e recursos mais recentes, especializados ou específicos de uma região na Vertex AI são oferecidos inicialmente ou permanentemente apenas por um endpoint regional (por exemplo, us-central1-aiplatform.googleapis.com). Se o aplicativo depender de um desses recursos específicos, use o endpoint regional correspondente ao local do recurso. Essa é a principal restrição ao determinar sua estratégia de endpoint.
  • Simplificação do design multirregional: se um modelo for compatível com o endpoint global, o uso dele vai eliminar a necessidade de o aplicativo alternar dinamicamente o endpoint de API com base na região de implantação atual. Uma única configuração estática funciona para todas as regiões, simplificando muito a implantação, os testes e as operações.
  • Mitigação da limitação de taxa (evitando erros 429): para modelos compatíveis, o roteamento de solicitações pelo endpoint global distribui o tráfego internamente na rede do Google para o serviço regional disponível mais próximo. Essa distribuição pode ajudar a aliviar o congestionamento localizado do serviço ou erros de limite de taxa regional (429), aproveitando o backbone do Google para balanceamento de carga interno.

Para verificar a disponibilidade global dos modelos de parceiros, consulte a guia "Global" na tabela de locais de endpoints de modelos Google Cloud , que também lista locais regionais.

Considerações sobre a VPC compartilhada da Vertex AI

Usar uma VPC compartilhada é uma prática recomendada para estabelecer uma governança organizacional e de rede forte. Google Cloud Esse modelo separa as responsabilidades ao designar um projeto host central, gerenciado por administradores de segurança de rede, e vários projetos de serviço, consumidos por equipes de aplicativos.

Essa separação permite que os administradores de rede gerenciem e apliquem centralmente a segurança da rede (incluindo regras de firewall, sub-redes e rotas) enquanto delegam a criação e o gerenciamento de recursos (por exemplo, VMs, clusters do GKE e faturamento) aos projetos de serviço.

Uma VPC compartilhada desbloqueia uma abordagem de segmentação em várias camadas ao permitir o seguinte:

  • Segmentação administrativa e de faturamento: cada projeto de serviço (por exemplo, "Finance-AI-Project" ou "Marketing-AI-Project") tem faturamento, cotas e propriedade de recursos próprios. Isso evita que uma única equipe consuma a cota de toda a organização e fornece uma atribuição de custos clara.
  • IAM e segmentação de acesso: é possível aplicar permissões granulares do Identity and Access Management (IAM) no nível do projeto, por exemplo:
    • O grupo do Google "Finance Users" recebe a função roles/aiplatform.user apenas no "Finance-AI-Project".
    • O grupo do Google "Marketing Users" recebe a mesma função apenas no "Marketing-AI-Project".
    • Essa configuração garante que os usuários do grupo de finanças só possam acessar os endpoints, modelos e recursos da Vertex AI associados ao próprio projeto. Elas são completamente isoladas das cargas de trabalho de IA da equipe de marketing.

  • Aplicação no nível da API: o endpoint de API Vertex AI foi projetado para aplicar essa segmentação baseada em projetos. Conforme mostrado na estrutura da chamada de API, o ID do projeto é uma parte obrigatória do URI:

    https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent

Quando um usuário faz essa chamada, o sistema valida se a identidade autenticada tem as permissões necessárias do IAM para o ${PROJECT_ID} específico fornecido no URL. Se o usuário tiver permissões apenas para "Finance-AI-Project", mas tentar chamar a API usando o ID "Marketing-AI-Project", a solicitação será negada. Essa abordagem oferece um framework robusto e escalonável, garantindo que, à medida que sua organização adota a IA, você mantenha uma separação clara de funções, custos e limites de segurança.

Acesso via Internet pública à API Vertex AI

Se o aplicativo usar um serviço do Google listado na tabela de métodos de acesso compatíveis com a Vertex AI como Internet pública, ele poderá acessar a API realizando uma busca DNS no endpoint do serviço (REGION-aiplatform.googleapis.com ou aiplatform.googleapis.com), que retorna endereços IP virtuais roteáveis publicamente. É possível usar a API em qualquer lugar do mundo, desde que você tenha uma conexão de Internet. No entanto, o tráfego enviado de recursos do Google Cloud para esses endereços IP permanece dentro da rede do Google. Para restringir o acesso público à API Vertex AI, é necessário usar o VPC Service Controls.

Endpoints do Private Service Connect para a API Vertex AI

Com o Private Service Connect, é possível criar endpoints particulares usando endereços IP internos globais na sua rede VPC. É possível atribuir nomes DNS a esses endereços IP internos com nomes significativos como aiplatform-genai1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Esses nomes e endereços IP são internos da rede VPC e de todas as redes locais conectadas a via serviços de rede híbrida. É possível controlar qual tráfego vai para qual endpoint e demonstrar que o tráfego permanece no Google Cloud.

  • É possível criar um endereço IP de endpoint do Private Service Connect global definido pelo usuário (/32). Para mais informações, consulte Requisitos de endereço IP.
  • Crie o endpoint do Private Service Connect na mesma rede VPC que o Cloud Router.
  • É possível atribuir nomes DNS a esses endereços IP internos com nomes significativos como aiplatform-prodpsc.p.googleapis.com. Para mais informações, consulte Sobre como acessar APIs do Google por endpoints.
  • Em uma VPC compartilhada, implante o endpoint do Private Service Connect no projeto host.

Considerações sobre implantação

Veja a seguir algumas considerações importantes que afetam o modo de uso do Acesso privado do Google e o Private Service Connect para acessar a API Vertex AI.

Acesso privado do Google

Como prática recomendada, ative o Acesso privado do Google em sub-redes VPC para permitir que recursos de computação (como instâncias de VM do Compute Engine e do GKE) que não têm endereços IP externos alcancem APIs e serviços (como Vertex AI, Cloud Storage e BigQuery). Google Cloud

Divulgação de IP

É preciso divulgar o intervalo da sub-rede do Acesso privado do Google ou o endereço IP do endpoint do Private Service Connect para ambientes locais e multicloud do Cloud Router como uma rota divulgada personalizada. Para mais informações, consulte Divulgar intervalos de IP personalizados.

Regras de firewall

Você precisa garantir que a configuração de firewall nos ambientes locais e multicloud permita o tráfego de saída dos endereços IP das sub-redes do Acesso privado do Google ou do Private Service Connect.

Configuração do DNS

  • Sua rede local precisa ter zonas e registros DNS configurados para que uma solicitação a REGION-aiplatform.googleapis.com ou aiplatform.googleapis.com seja resolvida com a sub-rede do Acesso privado do Google ou com o endereço IP do endpoint do Private Service Connect.
  • É possível criar zonas particulares gerenciadas do Cloud DNS e usar uma política de servidor de entrada do Cloud DNS ou configurar servidores de nomes locais. Por exemplo, é possível usar o BIND ou o DNS do Microsoft Active Directory.
  • Se sua rede local estiver conectada a uma rede VPC, será possível usar o Private Service Connect para acessar APIs e serviços do Google de hosts locais usando o endereço IP interno do endpoint. Para mais informações, consulte Acessar o endpoint de hosts locais.